صیانت از داده‌های شخصی در ایران و اروپا

به گزارش ایران اکونومیست؛ اتحادیه اروپا به منظور صیانت از حریم خصوصی افراد و محافظت از داده‌های شخصی آنها، قانونی موسوم به GDPR (مقررات عمومی حفاظت از داده‌) تصویب کرد که همه شرکت‌های ارائه‌دهنده خدمات به کاربران که با داده‌های شخصی افراد سروکار دارند را ملزم به رعایت آن می‌کند. اگر چه این قانون در اتحادیه اروپا وضع شده است اما حوزه سرزمینی آن محدود به اعضای اتحادیه اروپا نیست و دایره شمول آن شرکت‌ها و سازمان‌هایی که در این اتحادیه مستقر نیستند را نیز می‌تواند در برگیرد.
 
حوزه فراگیر و گسترده این قانون و ضمانت‌های اجرایی مستحکم آن از یک طرف و جرائم سنگینی که در صورت تخلف از آنها به شرکت‌ها تحمیل می‌شود باعث شد سازگاری با این قانون به شکل جدی در دستور کار بسیاری از شرکت‌ها به خصوص شرکت‌های حوزه فناوری اطلاعات و ارائه‌دهنده سرویس‌های شبکه اجتماعی قرار گیرد.
 
همچنین ماهیت این قانون و دید جامع و فراگیر آن در ارتباط با حریم خصوصی افراد و محافظت از داده‌ها، باعث شده است که مطالعه آن از منظر نیازهای امنیتی بسیار مهم باشد. نیازهای موجود در این قانون متناسب با دغدغه‌های شرکت‌ها و ارائه‌دهندگان سرویس‌های شبکه اجتماعی داخلی و سایر فعالان حوزه فناوری اطلاعات است.
 
اقدامات انجام‌شده توسط برخی شرکت‌ها در راستای GDPR
 
شبکه‌های اجتماعی پدیده فراگیر عصر حاضر هستند که فرایند تعامل افراد با یکدیگر را تسهیل می‌کنند. در این میان حجم زیادی از داده‌ها که نشان‌دهنده علایق، دیدگاه‌ها و نظرات افراد است در بستر شبکه‌های اجتماعی مانند فیس‌بوک یا توییتر تا پیام‌رسان‌هایی مانند تلگرام و واتس‌اپ به اشتراک گذاشته می‌شود. با توجه به ماهیت شبکه‌های اجتماعی، آنها به طور قطع تحت حوزه قوانین GDPR قرار می‌گیرند.
 
اکثر شبکه‌های اجتماعی از شماره موبایل یا آدرس ایمیل برای ثبت‌نام کاربران استفاده می‌کنند. پروفایل شخصی افراد در این شبکه‌ها به همراه مطالبی که توسط کاربر در این شبکه‌ها منتشر می‌شود و پاسخ‌هایی که از سوی کاربر در پاسخ به یک مطلب گذاشته می‌شود می‌تواند مورد تحلیل قرار گیرد تا جایی که ویژگی‌های شخصیتی افراد را می‌توان از طریق مطالبی که مورد پسند او قرار گرفته است تا حد بسیار دقیقی مشخص کرد.
 
با توجه به تهدیدات موجود در ارتباط با نقض حریم خصوصی توسط اطلاعات موجود در شبکه‌های اجتماعی و سایر سیستم‌هایی که با داده‌های شخصی افراد سروکار دارند، اتحادیه اروپا تلاش‌های خود را برای ایجاد بستر قانونی جهت محافظت از داده‌ها و حریم خصوصی افراد شروع کرد تا اینکه در نهایت قانون جامع و فراگیری موسوم به GDPR در اتحادیه اروپا وضع و تصویب شد تا محافظت از داده‌های شهروندان اتحادیه اروپا را ارتقاء دهد و چارچوبی جهت استفاده تجاری از داده‌های شخصی افراد در سرتاسر اتحادیه اروپا مشخص کند و جایگزین قوانین محافظتی قبلی شود.
 
قانونGDPR  از داده‌های شخصی افراد و کسانی که به طور فیزیکی در اتحادیه اروپا ساکن هستند حتی اگر شهروند اتحادیه اروپا نباشند، محافظت می‌کند. با توجه به حوزه‌ای که برای آن تعریف شده و دربرگیرنده پایش رفتار افراد نیز هست، دایره شمول و حوزه قابل اعمال آن بسیار گسترده است و به طور مشخص شامل همه وب‌سایت‌ها و برنامه‌هایی که فعالیت کاربران خود در فضای دیجیتال را رصد می‌کنند می‌شود.
 
تعریف GDPR از حوزه داده‌های شخصی نیز تا حد زیادی وسیع و گسترده است. اتحادیه اروپا در ارتباط با حفاظت از حریم خصوصی افراد به شدت قاطع و محکم عمل می‌کند و امروز با وضع این قانون جامع، مسیر جدیدی را برای محافظت از حقوق افراد شروع کرده است و با وضع جریمه‌های مالی سنگین تا سرحد ۴ درصد سود کل یک شرکت، که می‌تواند به راحتی شرکت‌ها را در بازار با چالش مواجه کند، از اجرای این قوانین پشتیبانی می‌کند.
 
اقدامات برخی شرکت‌ها در راستای تبعیت از  GDPRحداقلی بوده که از آن جمله می‌توان به پیام‌رسان تلگرام اشاره کرد. بر اساس ادعای سایت رسمی تلگرام، از آنجایی که حریم خصوصی افراد از همان ابتدا دغدغه اصلی تلگرام بوده است، برای سازگاری با قوانین GDPR نیازمند تغییر جدی در فرایندها و روال خود نبوده‌اند زیرا تلگرام از داده‌های افراد برای هدف قرار دادن آنها در معرض نمایش تبلیغات استفاده نمی‌کند و این اطلاعات به دیگران فروخته نمی‌شود و تلگرام جزئی از خانواده هیچ شرکتی نیست. تلگرام تنها اطلاعاتی را نگهداری می‌کند که برای ارائه کارکردهای خود در قالب خدمات غنی ابری به آن نیاز دارد.
 
همچنین بر اساس ادعای شرکت فیس‌بوک، این شرکت هم‌اکنون با قوانین محافظت از داده‌های اتحادیه اروپا که شامل GDPR نیز می‌شود، سازگار است و فرایند آماده‌سازی این شرکت با کمک تیم محافظت از داده‌ها صورت گرفته است. در تمام طول فرایند آماده‌سازی، فیس‌بوک متعهد به سه مسئله شفافیت، پاسخگویی و امکان کنترل بوده است. این شرکت تلاش کرد تا شفافیت را از طریق تعریف سیاست‌های داده‌ای و نحوه پردازش داده‌های شخصی افراد تامین کند. همچنین در این زمینه آموزش‌های لازم در ارتباط با محصولات این شرکت را به کاربران ارائه کند.
 
ایران و لایحه صیانت از داده‌های شخصی
 
لایحه صیانت از داده‌های شخصی اخیرا توسط سازمان فناوری اطلاعات کشور رونمایی و مقرر شد برای تصویب به هیات دولت و سپس برای تبدیل شدن به قانون به مجلس برود. هدف اصلی این لایحه، صیانت از حیثیت و کرامت اشخاص موضوع داده‌هاست که شامل تبیین حقوق اشخاص موضوع داده‌ها، به‌ویژه در تعامل با سایر حق‌های مشروع، ضابطه‌مندی فرایند پردازش داده‌های شخصی، مسئولیت‌پذیری پردازش، هم‌افزایی امور تنظیمی و نظارتی پردازش و جبران‌پذیری زیان‌ها و آسیب‌های پردازش است.
 
در بند هشتم منشور حقوق شهروندی با عنوان «حق دسترسی به فضای مجازی» آمده که حق شهروندان است که از امنیت سایبری و فناوری‌های ارتباطی و اطلاع‌رسانی، حفاظت از داده‌های شخصی و حریم خصوصی برخوردار باشند. پیش از این هم در قانون تجارت الکترونیکی، درباره حفاظت از داده‌های شخصی مطالبی ذکر شده بود که با توجه به مواد تصویبی این قانون، کسانی که این قوانین را نقض کنند، مجرم محسوب می‌شوند.
 
محمدجواد آذری جهرمی - وزیر ارتباطات و فناوری اطلاعات - با اشاره به این لایحه و با تاکید بر لزوم صیانت از داده‌های مردم در سرویس‌های موجود در فضای مجازی بیان کرده بود: پیش از این در فضای مجازی و برای سرویس‌هایی که هر روز با سرعت بیشتری در حال رشد هستند، لایحه‌ای نداشتیم. همچنین اطلاعاتی از شهروندان ایرانی در سرویس‌های بین‌المللی ضبط و ثبت می‌شد که قابلیت پیگیری نداشت. به همین دلیل برای رعایت صیانت از داده‌های مردم در حوزه سرویس‌های بین‌المللی هم در تلاشیم. برای این قانون نیاز به تعاملات بین‌المللی داریم.   
 
رسول سراییان -رئیس سابق سازمان فناوری اطلاعات- نیز اظهار کرده بود: لایحه‌ صیانت از داده‌های شخصی سندی است که اگر مردم نگرانی و دغدغه‌ای درباره داده‌هایشان دارند با مطالعه‌ این سند و تضامینی که به آن‌ها داده شده، می‌توانند اعتماد کنند؛ همچون سایر قوانین و مقررات. همه دنیا هم همین کار را می‌کنند. همه‌ دنیا این قوانین و مقررات را دارند. در اروپا هم قانونی هست تحت عنوان GDPR که درباره حفاظت از حریم داده‌هاست.